Accord de sous-traitance (DPA)

Dernière mise à jour : 20 juin 2026.

Le présent accord encadre le traitement, par Keystone, des données à caractère personnel que vous (le bailleur abonné) confiez à l'application — principalement les données de vos locataires. Il s'applique au titre de l'article 28 du RGPD et fait partie intégrante des conditions générales. En créant un compte, vous l'acceptez.

1. Rôles des parties

• Responsable du traitement : vous, le bailleur abonné. Vous décidez des données encodées et de leurs finalités, et vous vous engagez à disposer d'une base légale et à informer vos locataires.
• Sous-traitant : PHALY SRL (BCE/TVA BE 0500.601.657, Chemin du Grand Maître 29, 4130 Esneux), éditeur de Keystone. Nous ne traitons ces données que pour vous fournir le service.

Pour les données de votre compte d'abonné (email, facturation), nous restons responsable du traitement — voir la politique de confidentialité.

2. Objet, durée, nature et finalité

Objet :l'hébergement et le traitement des données de gestion locative que vous encodez. Durée :pendant toute la durée de votre abonnement, puis selon l'article 8. Nature et finalité :stockage, organisation, calcul (loyers, charges, indexation), génération de documents (baux, états des lieux, quittances) et envoi d'emails à vos locataires, à votre initiative et sur vos instructions.

3. Catégories de données et de personnes

• Personnes concernées : vos locataires (et, le cas échéant, garants ou occupants).
• Données :identité (nom, civilité), coordonnées (adresse, email, téléphone), date de naissance, données du bail et du logement, données financières liées aux loyers et charges (montants, paiements), relevés de compteurs, et toute pièce jointe que vous déposez. Aucune catégorie particulière n'est requise par le service ; n'en encodez pas sans base légale.

4. Nos obligations (art. 28.3 RGPD)

• Instructions documentées :nous ne traitons les données que sur vos instructions, matérialisées par votre usage de l'application et le présent accord, sauf obligation légale (nous vous en informerions alors, sauf interdiction).
• Confidentialité : les personnes autorisées à accéder aux données sont tenues à la confidentialité.
• Sécurité (art. 32) : chiffrement en transit (HTTPS) et au repos chez nos hébergeurs, isolation des espaces par compte (Row-Level Security en base), accès restreint, sauvegardes gérées par notre hébergeur de base de données.
• Assistance :nous vous aidons à répondre aux demandes d'exercice de droits de vos locataires (l'export et la suppression sont en partie outillés dans l'application) et à vos obligations de sécurité, de notification de violation et d'analyse d'impact, dans la mesure du raisonnable.

5. Sous-traitants ultérieurs

Vous autorisez le recours aux sous-traitants ultérieurs ci-dessous, tenus à des obligations équivalentes aux nôtres :

• Supabase — base de données et authentification (hébergement AWS eu-central-1, Francfort, UE).
• Vercel — hébergement applicatif.
• Stripe— paiement de l'abonnement (nous ne stockons jamais la carte ; concerne les données d'abonné, pas celles des locataires).
• Resend — acheminement des emails que vous envoyez à vos locataires.

En cas de changement de sous-traitant ultérieur, nous vous en informons au préalable ; vous pouvez vous y opposer pour un motif légitime, le cas échéant en résiliant votre abonnement.

6. Violation de données

En cas de violation de données affectant vos données, nous vous en informons sans retard injustifié après en avoir pris connaissance, avec les éléments utiles pour vous permettre, le cas échéant, de notifier l'Autorité de protection des données et les personnes concernées.

7. Transferts hors UE

Les données de gestion locative sont hébergées dans l'Union européenne (Francfort). Si un sous-traitant ultérieur opérait un transfert hors UE, il serait encadré par les garanties prévues par le RGPD (clauses contractuelles types ou décision d'adéquation).

8. Sort des données en fin de contrat

À la résiliation, vous pouvez exporter vos données depuis Réglages. Sauf demande de restitution préalable, votre espace et les données associées sont supprimés dans un délai de 30 jours, hors copies de sauvegarde à péremption automatique et obligations légales de conservation.

9. Audit et documentation

Nous mettons à votre disposition les informations nécessaires pour démontrer le respect de l'article 28. Pour toute question relative à cet accord, écrivez à contact@batiq.eu.